Browser von Google:Warum Webadressen in Chrome ab jetzt anders aussehen

Google Chrome kennzeichnet Webseiten als unsicher

Chrome markiert nun HTTP-Webseiten als "nicht sicher". So soll das Google zufolge aussehen.

(Foto: Google)
  • Ab heute markiert Googles Browser Chrome HTTP-Webseiten als "unsicher".
  • Langfristig wird Chrome wohl auf das grüne Schloss und andere "positive" Signale für verschlüsselte Seiten verzichten.
  • Auch der Konkurrent Firefox könnte nachziehen.

Von Marvin Strathmann

Wer die aktuelle Version von Googles Browser Chrome verwendet, sieht von heute an die Worte "nicht sicher" (not secure) neben der Adresse vieler Webseiten. Damit "ächtet" Google von den eine Million Webseiten des Netzes, die am beliebtesten sind, mit einem Schlag mehr als die Hälfte - und will damit den Nutzern helfen. Denn ab der von heute an ausgerollten Version Chrome 68 hält der Browser alle gewöhnlichen HTTP-Webseiten standardmäßig für unsicher. Nach einem Klick auf das graue "i" neben der Warnung erhalten Nutzer weitere Informationen. Lediglich für gut gesicherte Seiten, die etwa mit HTTPS den Datentransport verschlüsseln, soll es keine Warnung geben. Damit ändert Google - dank seiner Marktmacht durch Chromes weite Verbreitung - die Standards im Internet: Verschlüsselte Webseiten sollen als Norm, alles andere als gefährlich gelten. Und möglichst viele Seitenbetreiber auf das sicherere Protokoll HTTPS umstellen.

Eine Grundlage für den Datenverkehr ist bislang HTTP, das Hypertext Transfer Protocol: Ein Übertragungsprotokoll für Hypertext. Vereinfacht gesagt legt das Protokoll die Regeln fest, wie ein Browser und ein Server miteinander kommunizieren sollen.

Bisher waren unverschlüsselte Seiten Standard

Sind die Seiten mit dem Kommunikationsprotokoll HTTPS gesichert, wird ein "S" und damit das Wort Secure (sicher) hinzugefügt. Die Daten, die ein Browser und ein Server über HTTPS austauschen, werden über eine verschlüsselte Verbindung übertragen. Das ist deutlich sicherer als nur HTTP zu verwenden. Zeigt Ihr Browser nun diese Webseite und damit auch diesen Artikel von einem Server der Süddeutschen Zeitung an, dann geschieht auch das mittlerweile auf Basis von HTTPS. So sind etwa Passwörter oder Bankdaten unterwegs geschützt und können nicht von Dritten abgegriffen werden. Der Schutz gilt für den Transport durch das Netz. Speichert eine Webseite beispielsweise Daten unverschlüsselt auf ihren Servern, könnten Angreifer allerdings diese Server knacken und Daten auslesen.

Bisher gingen Browser eher den umgekehrten Weg: unverschlüsselte Seiten wurden nicht besonders markiert, sie galten als Standard. Dagegen erhielten verschlüsselte Seiten eine besondere positive Ausweisung in der Adressleiste, etwa ein grünes Vorhängeschloss. Die Nutzer konnten erkennen: Diese Seite ist besonders sicher.

Die "Unsicher"-Markierung für HTTP-Seiten dürfte nur der Anfang gewesen sein: Langfristig will Chrome auf das grüne Schloss und andere "positive" Kennzeichnungen verzichten. In einem Blogpost vom Mai kündigte Emily Schechter, bei Google verantwortlich für die Sicherheit von Chrome, an: Von September an werde das grüne Schloss grau dargestellt und der grüne Schriftzug "Sicher" neben HTTPS-Webseiten verschwinden. Später soll auch das graue Schloss nicht mehr angezeigt werden. Auf der Sicherheitskonferenz Loco Moco auf Hawaii erklärte sie im April auch eine Schwäche der neuen HTTPS-Strategie: Mit der Verbreitung von HTTPS würden auch immer mehr bösartige Seiten mit der Verschlüsselung ausgestattet werden - und daher von Chrome als sicher ausgezeichnet werden.

Heikel kann es nämlich nach wie vor werden, wenn ein Angreifer eine HTTPS-konforme Fake-Login-Seite erstellt und einen Link dazu an sein Opfer schickt - etwa über eine Phishing-Mail. Der Browser zeigt das grüne Schloss an und der Nutzer könnte auf die falsche Seite hereinfallen, da er sie für besonders sicher hält. Aber sicher ist an ihr nichts, die Anmeldedaten des Opfers werden höchstens verschlüsselt an den Angreifer übertragen.

Google bevorzugt verschlüsselte Seiten schon länger: seit 2014 werden HTTPS-Seiten im Such-Ranking von Google stärker berücksichtigt als reine HTTP-Seiten.

Kritik von den IT-Schützern des Bundes

Für das Bundesamt für Sicherheit in der Informationstechnik sind Googles Änderungen nicht nur positiv: "Grundsätzlich wird das Internet durch die Änderung, die Google angekündigt hat, aus technischer Sicht nicht unsicherer. Allerdings sind aus Sicht des BSI Auswirkungen im Verhalten der Anwender denkbar", sagt ein Sprecher.

Die Behörde stört sich daran, dass Google künftig nicht mehr nach Zertifikatsgüteklassen unterscheiden wird. Zertifikate stellen sicher, dass die verschlüsselten Daten auch beim richtigen Empfänger ankommen, etwa bei der Sparkasse in Hannover und nicht bei einem Betrüger in Nigeria. So genannte EV-Zertifikate bilden die höchste Stufe: Zertifizierungsstellen wie Comodo oder die PSW Group durchleuchten gründlich die Seite und das Unternehmen dahinter. Dann folgen - absteigend - OV- und DV-Zertifikate.

Mozilla könnte Google es Google gleichtun

"Bei einfachen Zertifikaten wird zwar verschlüsselt kommuniziert, allerdings wird die Identität des Inhabers der Webseite nicht geprüft. Dies erfolgt nur bei hochwertigen Zertifikaten, so dass diese eine zusätzliche Sicherheitsaussage für den Endnutzer darstellen", heißt es aus dem BSI. Nutzer können Details über die Zertifikate aufrufen, wenn sie auf das grüne Schloss klicken - solange es noch angezeigt wird -, oder auf das "i" neben der Seitenadresse. Das BSI fürchtet, dass Unternehmen nun weniger Geld in hochwertige Zertifikate investieren. Gerade europäische Zertifizierungsstellen würden sich durch Qualität hervortun, nicht durch einen günstigen Preis: "Durch die Marktstellung von Google geht das BSI davon aus, dass weitere Hersteller von Web-Browsern diese Änderungen in ähnlicher Form übernehmen werden."

Neben Chrome setzt auch Mozillas Browser Firefox auf die Markierung mit dem grünen Schloss. Aber Firefox könnte bald nachziehen und unverschlüsselte Webseiten ebenfalls als unsicher markieren: "Aktuell denken wir darüber nach, das durchgestrichene Schloss oder einen Texthinweis als experimentelle Einstellung in Firefox auf allen HTTP-Seiten zu verwenden", sagt eine Mozilla-Sprecherin. "Darüber hinaus untersuchen wir die Zweckmäßigkeit positiver Sicherheitshinweise auf HTTPS-Seiten, wie etwa die des grünen Schlosses."

Eine Liste der beliebtesten deutschen Seiten, die nicht mit HTTPS verschlüsselt sind, hat der IT-Sicherheitsexperte Troy Hunt hier zusammengestellt.

Zur SZ-Startseite
Google Chrome-Werbeposter in der Londoner U-Bahn.

Adblocker
:Google Chrome blockiert Werbung

Google will besonders lästige Anzeigen filtern. Kurzfristig werden die meisten Nutzer kaum Unterschiede bemerken. Doch der Schritt zeigt, dass Google die Spielregeln im Netz bestimmt.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: